Es besteht auch die Möglichkeit, die Benutzerauthentifizierung über IIS durch das Betriebssystem ausführen zu lassen. Auf diese Weise schützen die Standardauthentifizierungsfeatures von IIS den Zugriff auf das virtuelle Verzeichnis, in dem sich der Webdienst befindet, und verlangen eine Benutzer-ID und ein Passwort für den Zugriff auf das Verzeichnis. Der Client des Benutzers wird eine Benutzer-ID und ein Passwort benötigen, um den Dienst nutzen zu können, was für Entwickler, die den Dienst in Anspruch nehmen, lästig sein kann. Diese Methode erspart dem Webdienst-Entwickler jedoch das Erstellen einer Überprüfungsroutine und die Pflege einer Liste gültiger Schlüssel.
Ein Vorteil der Authentifizierung in IIS durch das Betriebssystem ist, dass der Webdienst ohne Bezug auf Benutzerüberprüfung codiert und getestet werden kann, ohne eine Überprüfung zu erfordern. Ist der Dienst dann einsatzbereit, kann die Standardauthentifizierung für das virtuelle Verzeichnis aktiviert werden. Ab diesem Zeitpunkt regelt dann IIS alle Authentifizierungsfälle noch bevor der Webdienst erreicht wird.
Während die programmgesteuerte Überprüfung erfordert, dass sowohl Client als auch Webdienst Teile der Überprüfungslogik bereitstellen, bedeutet die Authentifizierung durch das Betriebssystem, dass eine Authentifizierungslogik nur bei dem Client existiert. Die Clientanwendung muss das Objekt System.Net.NetworkCredential zum Verkapseln der Benutzer-ID und des Passwortes erstellen. Nachdem die Clientanwendung die Credentials-Eigenschaft des Webdienstes auf das von ihr erstellte NetworkCredential -Objekt setzt, lässt sich die Webdienstmethode normal aufrufen. Außerdem kann die Credentials-Eigenschaft auch auf einer Anwendungsebene gesetzt werden, so dass die Daten nur einmal während der Lebensdauer einer Anwendung weitergegeben werden müssen.
Der Autor der Clientanwendung, der dafür verantwortlich ist, die für die Nutzung des Dienstes erforderlichen Informationen zu erstellen, hat mehrere Möglichkeiten: die Benutzer-ID und das Passwort in der Anwendung festcodieren, die Eingabe der Benutzer-ID und des Passworts durch den Benutzer zwingend vorgeben, oder die Benutzer-ID und das Passwort einer Datenbank entnehmen. Die erste der genannten Möglichkeiten wird in Listing B aufgezeigt. Zu beachten ist, dass keinerlei Schlüssel an die Webdienstmethode weitergegeben werden muss, wenn diese aufgerufen ist.
Während die Authentifizierung durch das Betriebssystem etliche Vorteile hat, so ist sie trotzdem nicht perfekt. Die Pros und Contras der Standardauthentifizierung sind unter anderem:
Vorteile der Überprüfung durch das Betriebssystem
Nachteile der Überprüfung durch das Betriebssystem
Keine perfekte Antwort
Leider gibt es noch keine perfekte Lösung, um den Zugriff auf Webdienste zu sichern, doch ist die übliche Methode die, dass ein Client irgendwelche Überprüfungsinformationen an den Dienst weiterleiten muss. Wie man das erreicht, ist von entscheidender Bedeutung. Eine der beiden hier beschriebenen Methoden kann für bestimmte Situationen durchaus die beste Lösung darstellen.
Betroffen sind Millionen IoT- und M2M-Geräte Geräte weltweit. Unter anderem können Angreifer per SMS Schadcode…
Von ihr geht ein hohes Risiko aus. Angreifbar sind Chrome für Windows, macOS und Linux.
Forschende des KIT haben ein Modell zur Emotionsanalyse entwickelt, das affektive Zustände ähnlich genau wie…
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.